Tìm hiểu về bảo mật trong VPN

Đồ án cơ sở về vấn đề bảo mật trong VPN cho những bạn đang làm báo cáo. bên trong đã bao gồm cả phần hướng dẫn demo

BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM

ĐỒ ÁN CƠ SỞ TÌM HIỂU VỀ BẢO MẬT TRONG VPN

Ngành: CÔNG NGHỆ THÔNG TIN

Chuyên ngành : AN TOÀN THÔNG TIN

Giảng viên hướng dẫn : NGUYỄN MINH THẮNG

Sinh viên thực hiện: PHẠM VĂN LỘC HOA MSSV: 1711061243 Lớp: 17DTHB1

TP.Hồ Chí Minh, 2020

LỜI NÓI ĐẦU

Cùng với sự phát triển của công nghệ thông tin Công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dụng và hình thức, trong đó có rất nhiều thông tincần bảo mật cao bởi tính kinh tế, chính xác và tin cậy của nó

Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao Tuy nhiên các hình thức phá hoại mạng cũng trở lên tinh vi và phức tạphơn, do đó đối với mỗi hệ thống, nhiệm vụ đặt ra cho người quản trị là hết sức quan trong và cần thiết Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan tới bảo mật thông tin và mạng máy tính, việc nắm bắt những công nghệ này là hết sức cần thiết Chính vì vậy, thông qua việc nghiên cứu một cách tổng quan về bảo mật hệ thống và một công nghệ cụ thể liên quan đến bảo mật hê thống, đó là công nghệ Mạng Riêng Ảo (VPN-vitual Private Network) Trong đồ án này của em có thể góp phần vào việc hiểu thêm và nắm bắt về kỹ thuật VPN trong doanh nghiệp cũng như là trong nhà trường để phục vụ cho lĩnh vực học tập và nghiên cứu

LỜI CẢM ƠN

Trong quá trình xây dựng đồ án này, em đã nhận được rất nhiều ự giúp đỡ, góp ý, và ủng

hộ của thầy NGUYỄN MINH THẮNG, là thầy giáo trực tiếp hướng dẫn về đồ án cơ sở

của em, cảm ơn thầy NGUYỄN MINH THẮNG đã tạo điều kiện giúp đỡ em hoàn thành

đồ án này

Bảo mật trong VPN là một vấn đề rộng và mới đối với Việt Nam, đồng thời do kinh nghiệm và kỹ thuật còn hạn chế, nội dụng đồ án chắc chắn sẽ còn nhiều sai sót, hy vọng các thầy cô trong khoa Công Nghệ Thông Tin sẽ đóng góp ý kiến bổ sung để em hoàn thiện đồ án

Em xin chân thành cảm ơn

MỤC LỤC

NHỮNG TỪ NGỮ VIẾT TẮT

ISP Internet service Provider : Nhà cung cấp dịch vụ

internet

Protocol/Internet Protocol Giao thức Kiểm soát Truyền / Giao thức

InternetVPN Virtual Private Network Mạng riêng ảo

SoftEther Software Ethernet Phần mềm Ethernet

Standard

Chuẩn mã hóa cấp cao

ISDN Integrated Services Digital

Network

Dịch vụ tích hợp Mạng

kỹ thuật số

Interconnection Kết nối hệ thống mở

RAS Remote Access Server Máy chủ truy cập từ xaPPP Point-to-point Protocol Giao thức điểm-điểm

Association and Key Management Protocol

Hiệp hội bảo mật Internet

và giao thức quản lý khóa

CHƯƠNG I: TỔNG QUAN VỀ VPN

1: Tổng quan

Trong thời đại hiện nay Internet đã phát triển mạnh mẽ về mặt mô hình cho nền công nghiệp, đáp ứng các nhu cầu của người dùng Internet đã được thiết kế để kết nối nhiều mạng khác nhâu và cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chong mà không xem đến máy và mạng mà người sử dụng đó đang dùng Để làm được điều này người ta sử dụng một máy tính đặc biệt goih kaf Router để kết nối ác LAN

và WAN với nhau Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP– Internet service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trờ thành hiện thực tuy nhiên do Internet có phạm vi toàn cầu và không được một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong việc bảo mật và ăntoàn dữ liệu cũng như trong việc quản lý các dich vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoat mãn điều những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo (Virtual Private Network - VPN) Với mô hình mới này, người ta không phải đầu tư thêm nhiều cơ

sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản

lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của

tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng nó có thể đảm bảo

an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn

1.1: Nhiệm vụ của đồ án

Ngày nay với sự phát triển bùng nổ, mạng internet ngày càng được

mở rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổithông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, ngân hàng, công ty … và các doanh nhân lo ngại về vấn đề an toàn và thông tin dữ liệu trong các mạng cục bộ của mình khi trao đổi thông tin qua mạng công cộng Internet

VPN (Vitual Private Network) là giải pháp được đưa ra để cung cấpmột giải pháp an toàn cho các: Tổ chức, doanh nghiệp,… và các doanh nhântrao đổi thông tin từ mạng cục bô của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm được cho phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hoặc toàn cầu)

1.1.1: Ý nghĩa khoa học và thực tiễn

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line Với nhiều lợi ích như:

• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khitruyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập từ xa từ 60-80%

• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối

từ xa của những văn phòng, những vị trí ngoài quốc tế

1.1.2: Mục tiêu nghiên cứu

Giao thức SoftEther (Software Ethernet) đây là một giao thức mới, lần đầu tiên ra mắt vào năm 2014 Giống như những giao

thức OpenVPN, SoftEther cũng có những mã nguồn mở SoftEther

hỗ triwj các giao thức mã hóa mạnh nhất, bao gồm AES-256 và 4096-bit SoftEther cung cấp tốc độ giao tiếp lơn hơn so với hầu hết các giao thức, bao gồm những giao thức được sử dụng nhiều như OpenVPN, ở một tốc độ dữ liệu nhất định Nó không hỗ trợ hệ điều hành riêng nhưng có thể được cài đặt trên nhiều hệ điều hành, bao gồm Windows, Mac, Android, IOS, Linux và Unix Là một giao thứcmới, SoftEther không được hỗ trờ nhiều như một số giao thức khác SoftEther không tồn tại đủ lâu như OpenVPN, nên người dung chưa

có nhiều thời gian để kiểm tra những điểm yeeuscuar giao thức này Tuy nhiên, SoftEther là một ứng cử viên nặng ký cho bất kỳ ai cần chất lượng bảo mật hàng đầu

Chương III KẾT QUẢ THỰC NGHIỆM: Mô tả công việc thực nghiệm đề tài đã tiến hành, các kết quả nghiên cứu lý thuyết, kết quả thực nghiệm đạt được Đối với các đề tài ứng dụng có kết

quả là sản phầm phần mềm phải có hồ sơ thiết kế, cài đặt, giao diện… theo một trong số các mô hình đã học

• Chương IV KẾT LUẬN VÀ KIẾN NGHỊ: Nêu những kết luận chung, khẳng định những kết quả đạt được, những đóng góp,

đề xuất mới và kiến nghị

CHƯƠNG 2: CƠ SỞ LÝ THUYẾT

2: Khái niệm

Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm củanhiều doanh nghiệp, đặc biệt là các doanh nghiệp có các địa điểm phân tán về mặt địa lý.Nếu như trước đây giải pháp thông thường là thuê các đường truyền riêng (leased lines)

để duy trì mạng WAN (Wide Are Network) Các đường truyền này giới hạn từ ISDN (128Kbps) đến đường cáp quang OC3 (optical carrier-3, 155Mbps) Mỗi mạng WAN đều cócác điểm thuận lợi trên một mạng công cộng như Internet trong độ tin cậy, hiệu năng vàtính an toàn, bảo mật Nhưng để bảo trì một mạng WAN, đặc biệt khi sử dụng các đườngtruyền riêng, có thể trở nên quá đắt khi doanh nghiệp muốn mở rộng các chi nhánh

Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một phươngtiện quảng bá và mở rộng các mạng mà họ sở hữu Ban đầu, là các mạng nội bộ (Intranet)

mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng chỉ bởi các thànhviên trong công ty

Hình 1.1 Mô hình VPN cơ bản

Về căn bản, mỗi VPN(virtual private network) là một mạng riêng rẽ sử dụng một mạngchung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiềungười sử dụng từ xa Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng nhưđường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từmạng riêng của công ty tới các site của các nhân viên từ xa

Hình 1.2 Mô hình mạng VPN

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Nhữngthiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP.VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một mạngcông cộng sử dụng các kết nối tạm thời Những kết nối bảo mật được thiết lập giữa 2host , giữa host và mạng hoặc giữa hai mạng với nhau

Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá” VPN cóthể xuất hiện ở bất cứ lớp nào trong mô hình OSI VPN là sự cải tiến cơ sở hạ tầng mạngWAN mà làm thay đổi hay làm tăng thêm tính chất của các mạng cục bộ

Vpn sử dụng công nghệ đường hầm và mã hóa Chức năng chính của một mạng VPN là truyền thông tin đã được mã hoá trong một đường hầm dựa trên hạ tầng mạng được chia sẻ.

2.1: Đường hầm và mã hóa

Chức năng chính của VPN đó là cung cấp sự bảo mật bằng cách mã hoá qua mộtđường hầm

Hình 1.5 Đường hầm VPN

 Đường hầm (Tunnel) cung cấp các kết nối logic, điểm tới điểm qua mạng IP không

hướng kết nối Điều này giúp cho việc sử dụng các ưu điểm các tính năng bảo mật Cácgiải pháp đường hầm cho VPN là sử dụng sự mã hoá để bảo vệ dữ liệu không bị xem trộmbởi bất cứ những ai không được phép và để thực hiện đóng gói đa giao thức nếu cần thiết

Mã hoá được sử dụng để tạo kết nối đường hầm để dữ liệu chỉ có thể được đọc bởi ngườinhận và người gửi

 Mã hoá (Encryption) chắc chắn rằng bản tin không bị đọc bởi bất kỳ ai nhưng có

thể đọc được bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì sựcần thiết đối với việc mã hoá thông tin càng trở nên quan trọng Mã hoá sẽ biến đổi nộidung thông tin thành trong một văn bản mật mã mà là vô nghĩa trong dạng mật mã của nó.Chức năng giải mã để khôi phục văn bản mật mã thành nội dung thông tin có thể dùngđược cho người nhận

2.1.1: Những yêu cầu cơ bản với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

• Tính tương thích (compatibility)

Mỗi công ty, mỗi doanh nghiệp đều được xây dựng các hệ thống mạng nội bộ vàdiện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩnnhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng cácchuẩn TCP/IP vì vậykhông thể kết nối trực tiếp với Internet Để có thể sử dụng được

IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địachỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênh kếtnối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi các thủ tụckhác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn mộtnhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có của họ

• Tính bảo mật (security)

Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với một giải phápVPN Người sử dụng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt đượcmức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng vàquản lý

Việc cung cấp tính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sửdụng trong mạng và mã hoá dữ liệu khi truyền

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản chongười sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệthống

• Tính khả dụng (Availability):

Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệusuất sử dụng dịch vụ cũng như dung lượng truyền

• Tiêu chuẩn về chất lượng dịch vụ (QoS):

Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quan đến khả năng đảm bảo độ trễ dịch vụ

2.2: Các kiểu VPN

VPNs nhằm hướng vào 3 yêu cầu cơ bản sau đây :

• Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm tay, vàviệc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng

• Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa

• Ðược điều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhàcung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh.Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và phân chia ralàm 3 phân loại chính sau :

2.2.1: Các VPN truy cập (Remote Access VPNs)

Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúcnào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánhkết nối đến tài nguyên mạng của tổ chức Ðặc biệt là những người dùng thường xuyên

di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đếnmạng Intranet hợp tác

Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên máytính của người sử dụng Kiểu VPN này thường được gọi là VPN truy cập từ xa

Đường hầm

Đường hầm Tường lửa

Server Server

Trung tâm dữ liệu Người dùng từ xa

Sử dụng di động

Hình 2.1 Mô hình mạng VPN truy cậpMột số thành phần chính :

Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận vàchứng nhận các yêu cầu gửi tới

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu

ở khá xa so với trung tâm

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợtruy cập từ xa bởi người dùng

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chinhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISPhoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet

Hình 2.2: Cài đặt Remote Access VPN

Thuận lợi chính của Remote Access VPNs :

 Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đãđược tạo điều kiện thuận lợi bời ISP

Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nốivới khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

 Giảm giá thành chi phí cho các kết nối với khoảng cách xa

Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kếtnối trực tiếp đến những khoảng cách xa

 VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụtruy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồngthời đến mạng

Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :

 Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

 Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể

đi ra ngoài và bị thất thoát

 Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều nàygây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như cácgói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm